á á˛áľáŽ á áá¤áľá˘ á°á¨áłáłá áá° ááá°áá ááĽá áĽááłá á á°á
á ááĄá˘ á ááááŞáŤá ááľáĽ
á áá
á˝áá ááľáĽ á áŤáááśá˝á ááá áᣠá¤áá˛á¤á á ááááŽá˝á áá¨á áĽá á¨ááááŽáśááľ á áá˛á áłááŹáá°áŞ áá áá° áá
á°áľ áĽáááŁáá áĽáá˛áá á¨PassiveID áá á¨ááľáŤáľá áአáአáááłáá˝ áĽááá¨ááŤááᢠá¨ááá ἠá ááľ, áĽáá˛áŤáᥠá áĽáĽá áĽáááŤá˝ááá
1. á ááłááľ áááľ
á¨á°á áá ááááľ - áľá á°á ááá áá¨áá á¨áŤá áĽá á ááłá¨ áá¨áĄá áááľá¨áľ ááľááááąá á¨ááŤááá á¨á°á áá áááŤá˘ á¨áá¨á°ááľ áááááá˝ á á°áááś á á°á áá áá፠ááľáĽ á¨á°áááš áá¸áᥠá¨á°á áá áľáᣠá¨á˘ááá á áľáŤáťáŁ á¨ááá ááᣠá¨áá፠ááááŤáŁ á¨á°á áá áĄáľá áĽá ááá˘
á¨á°á áá áĄáľáá˝ - á¨á°á áá áĄáľáá˝ á¨á°áá°á ᨠCisco ISE á áááááśá˝á áĽá á°ááŁáŤáľá áĽáá˛á°ááąáŁá¸á á¨ááŤáľá˝áá¸á á¨á፠áአááĽáśá˝ áŤáá¸á á¨ááá°áĽ á°á áááá˝ áľáĽáľáĽ áá¸áá˘
á¨á°á áá áá፠áĄáľáá˝ - á áľááľá á¨á°áá°á áá¨á áĽá áá áŤáá¸á á¨á°á áá áĄáľáá˝á˘ á¨áá¨á°ááľ á¨á°á áá ááłáá፠áĄáľáá˝ á ááŁáŞááľ áááŤáᣠá°á áááá˝á áĽá á¨á°á áá áĄáľáá˝á ááĽááą áá¨á áá˝ááᥠá°ááŁáŞ (á°ááŁáŞ)ᣠáľááá°áAllAccountᣠSponsorGroupAccountsᣠSponsorOwnAccounts (á¨áĽáááśá˝ áááłáá áááľá°áłá°á á¨áľááá°á áááŤáá˝)ᣠáĽáááł (áĽáááł)ᣠáá˘á áĽáááł (á¨áá áĽáááł)á˘
á¨á°á áá áá - á¨á°á áá áá á ááľ á°á áá áá á°ááŁáŤáľá áá¨ááá áĽáá°áá˝á áĽá áá á áááááśá˝á ááááľ áĽáá°áá˝á á¨áááľá á¨áááśá˝ áľáĽáľáĽ ááᢠáĽááá áá á¨á°á áá áá á¨á°á áááá˝ áĄáľá áá á¨á°áŤáŤá ááá˘
á¨áá
á á áá áĽáŤááłááą á°á áá áĽá á°á áá áĄáľá áá
áá á°á áá (á¨á°á áá áĄáľá) áĽáá˛ááᥠáĽá á¨á áá áĽáá˛áááš á¨ááŤáľá˝áá á°á¨á᪠áŁá
áŞáŤáľ á áá¸áᢠá°á¨á᪠áá¨á á
2. á¨á áŤáŁá˘ á°á áááá˝á ááá áŠ
1) Cisco ISE á¨á áá ááľáĽ á°á áááá˝á ááá á áĽá á ááłá¨áť ááᲠááľáĽ áá áááŁá¸á á áá á°ááá á¨áááľ á áľá°áłá°á ááá ááľá áľ áá˝ááᢠááá¨áĄ á áľá°áłá°á â á¨ááááľ á áľá°áłá°á â ááááśá˝ â á°á áááá˝ â áŤááá˘
ááľá 1 á¨á áŤáŁá˘ á°á ááá áá° Cisco ISE áá¨á
2) á ááłá¨á ááľáŽáľ ááľáĽ á¨á áŤáŁá˘áŤá á°á ááá ááá áŠ, á¨ááá áá áĽá ááá˝ ááá¨áłáľ á¨ááťá áááŞáŤáá˝ áŤááá.
ááľá 2. á Cisco ISE ááľáĽ á¨á áŤáŁá˘ á°á áá ááá á
3) á°á áááá˝á ááľááŁáľ áá˝ááᢠá á°ááłáłá áľá ááľáĽ á áľá°áłá°á â á¨ááááľ á áľá°áłá°á â ááááśá˝ â á°á áááá˝ á ááľ á ááŤá ááá¨áĄ á áľáᣠáĽá csv ááá txt ááá á¨á°á áááá˝ áá ááľááᢠá áĽááľ áááááľ ááá¨áĄ á áĽááľ ááá áŠ, á¨ááŤá á°áľáá á áá á á˝ áľáá°á áááá˝ áá¨á ááááľ á áá áľ.
ááľá 3 á°á áááá˝á áá° Cisco ISE á ááľááŁáľ áá
3. á¨á¤áá˛á¤á á ááááŽá˝á áá¨áá
ááľáłááľá á¤áá˛á¤á áá¨áá áĽááľáľáá áᣠáá¨ááἠáĽááľáľá˝áᣠá á¤áá˛á¤á á ááááŽá˝ áá፠ááľáĽ áŤá á áŤáááśá˝á áĽááľáľáááᣠá áááľ 389 ááá 636 (SS) áá á¨áá°áŤ áłáá á¨áá°áá áŞáŤ á°á¨á ááŽáśáŽá ááᢠá¨á¤áá˛á¤á á ááááŽá˝ áłáá ááłááá˝ áá áłááŹáá°áŞáŁ Sun DirectoryᣠNovell eDirectory áĽá OpenLDAP áá¸áᢠá á¤áá˛á¤á áá፠ááľáĽ áŤáá áĽáŤááłááą áá¤áľ á á˛á¤á (á¨á°áᨠáľá) ááááťá áĽá áááŤáá˝áᣠá¨á°á áá áĄáľáá˝á áĽá áŁá áŞáŤáľá á¨áááŁáľ á°ááŁá á¨ááłá¨áť ááᲠááá á¨á˝ áááłáá˘
á á˛áľáŽ á áá¤áľá˘ ááľáĽ á¨áĽá á¨á¤áá˛á¤á á ááááŽá˝á ááłá¨áť áááá ááťááᣠá áá á á°á°áááááľá á°ááŁáŤá áŤá°áááᢠááá (áá) á¤áá˛á¤á á áááá á¨ááᣠISE ááá°á á°á¨á (ááá°á) áĽá á¨ááłá°ááľá áááľá¨áľ ááááŤáᢠá á°á¨ááŞáᣠ2 PANs áŤáᣠá ááľ LDAP ááá PAN áĽá áá LDAP áááá°á á°á¨á PAN á áľá፠áá°á á áá˝ááá˘
á áá¤áľá˘ á¨á¤áá˛á¤á á ááááŽá˝ áá á˛á°áŤ 2 ááááľ áááá áá°áááᥠá¨á°á áá ááá áĽá á¨áá á áľáŤáť áááᢠá¨á°á áá ááá á á¤áá˛á¤á áłáłá¤á ááľáĽ á°á ááá áĽááľáľááá áĽá áŤááá¨áá፠á¨áá¨á°ááľá áá¨ááá˝ áĽááľáłáá ááá áľáááᥠá°á áááá˝ áĽá áŁá áŞáŤá¸áᣠá¨á°á áá áĄáľáá˝á˘ á¨áá á áľáŤáť ááá á á¤áá˛á¤á áłááŹááśáŹáśá˝ ááľáĽ áŤá áá¨áá፠á áá á áľáŤáť áááá áĽá áľá ááłáŞáŤá áŁá¨ááłáŞáŤáá˝ áľáĽáľáĽ á MAC á áľáŤáťáá˝ áĽá ááá˝ áአáŁá áŞáŤáľá áá¨á áááááľ áŤáľá˝ááá˘
áĽáá° á¨áá á°áľ ááłáᣠá áá˛á áłááŹáá°áŠá áá° Cisco ISE áĽáá° LDAP á áááá áĽáá¨ááá˘
1) áá° áľáŠ áááą á áľá°áłá°á â á¨ááááľ á áľá°áłá°á â á¨áá ááááľ áááŽá˝ â á¤áá˛á¤á â áŤááá˘
ááľá 4. á¨á¤áá˛á¤á á áááá áá¨áá
2) á ááá ááľáĽ á á áá á¨á¤áá˛á¤á á áááá áľá áĽá áĽá áľ ááááš (á áĽá áááłáŁ áá áááŤ)á˘
ááľá 5. á¨á¤áá˛á¤á á áááá á¨ááŁáŞ áá፠ááľá áá áá¨áá
3) á ááá á áá° áááą áááááľ áľá áĽá ááá¨áĄ á¨á áľá°ááá áľá/á á á á áľáŤáť á¨á áááá AD, áá°áĽ (389 - LDAP, 636 - SSL LDAP), á¨á፠á áľá°áłáłáŞ ááľááááśá˝ (á áľá°áłáłáŞ á˛á¤á - áá á˛á¤á), ááá˝ áááŞáŤáá˝ á ááŁáŞááľ áá°á áá˝áá.
á ááá¨á°ááá á¨áá˝á á˝ááŽá˝á áááľáááľ á¨á áľá°áłáłáŞáá á፠ááááŽá˝á áá ááá˘
ááľá 6 á¨á¤áá˛á¤á á áááá áááĽá ááľááŁáľ
4) á áľá ááľáĽ áá፠áľáá áľ á°á áááá˝á áĽá á¨á°á áá áĄáľáá˝á á¨á¨áľ áĽáá°áááľáą á¨áááŤáá áŚáł á á˛á¤á á áŠá áááá˝ á ááĽááľá˘
ááľá 7. á¨á°á áá áĄáľáá˝á áááŁáľ á¨áá˝áá áľá áááŤáá˝ ááá°á
5) áá° ááľáŽáľ áááą áĄáľáá˝ â á áá â á¨áá፠ááľáĽ áĄáľáá˝á ááá¨áĄ áĄáľáá˝á á¨á¤áá˛á¤á á áááá áááá¨áĽá˘
ááľá 8. á¨á¤áá˛á¤á á áááá áĄáľáá˝á áá¨áá
6) á ááłá¨á ááľáŽáľ ááľáĽ á á áŤáľáá áĄáľáá˝á á°ááľáŽ áááŁáľá˘ áĄáľááš á°ááľá°á á¨áá, á¨ááááŞáŤ á°á¨ááá˝ á á°áłáŤ áááł á°á áá ááá. á áá áá፠áá á áľá°áłáłáŞ áááአáĽá ᨠISE ááááľá á¨á¤áá˛á¤á á áááá áá á á¤áá˛á¤á ááŽáśáŽá áŤá¨áááĄá˘
ááľá 9. á¨á°áá°áą á¨á°á áá áĄáľáá˝ áááá
7) á áľá ááľáĽ áŁá áŞáŤáľ á¨á¤áá˛á¤á á áááá á¨áľááš áŁá áŞáá˝ ááá°áľ áĽááłááŁá¸á áĽá á ááľáŽáą ááľáĽ áĽáá° á ááŤá áááá˝ áá˝ááᢠá¨áá á ááĽáŽá˝ á ááŤá ááááľ á¨ááá áá áááĽá á áá, áá á á°á áááá˝ á¨ááá áá ááá áŤááá áľ ááá áłáá á¨á°ááᨠáĽáá˛ááአáŤáľááľáłá¸áá. áááááá á á áŤáľáá áŤáľáᥠ/ á°áĽááľ áááá á.
8) á¨á¤áá˛á¤á á áááá á á°ááá áľá ááľáĽ áłá¨ áĽá ááá°ááą á¨ááłá¨áť ááá˛áá˝á ááá á¨á˝ áĽá á áá ááá áá˝ááá˘
ááľá 10. á¨á°á¨áአá¨á¤áá˛á¤á á ááááŽá˝ áááá
4. á¨Active Directory áá áá á°áľ
1) á¨ááááŽáśááľ á áá˛á áłááŹáá°áŠ á áááá áĽáá° á¤áá˛á¤á á áááá á áá¨á á°á áááá˝áᣠá¨á°á áá áĄáľáá˝á á ááá°ááᣠáá ááá áááἠááľáłááťáá˝ á¨ááᢠá ááá áᣠá¨á˛áľáŽ ISE áá á¨áá ᨠAD áá á°áľá ááááááľ ááłáĽ á áááŁááᢠáá° áľá áááą á áľá°áłá°á â á¨ááááľ á áľá°áłá°á â á¨áá ááááľ áááŽá˝ â áá áá፠â áŤááá˘
ááľáłááť: ᨠAD áá á á°áłáŤ áááł áááááľ ISE á á፠ááľáĽ ááá áĽá á¨á˛á¤áá¤áľáŁ á¤áá˛á áĽá AD á ááááŽá˝ áá áá áááááľ ááá¨á áááŁáᣠáŤáá áá፠ááá ááá á áááŁáá˘
ááľá 11. Active Directory á áááá áá¨áá
2) á ááłá¨á ááľáŽáľ ááľáĽ á¨á፠á áľá°áłáłáŞ ááááŽá˝á áŤáľáᥠáĽá áłáĽá áá ááááľ áŤáľáá á¨áá¨ááť ááľááááśá˝. á á°á¨ááŞá ISE á á°áá°á OU ááľáĽ á¨ááá á¨áá OU (áľáá áłá ááá) áááá˝ áá˝ááᢠá ááá á á¨ááŤá áá ááááááľ á¨áááááľá ᨠCisco ISE ááśá˝ ááá¨áĽ ááááĽááłáá˘
ááľá 12. ááľááááśá˝á ááľááŁáľ
3) á¨á፠áááŁá áŞáŤáá˝á á¨áá¨áá á ááľ á PSN á áľáŠ áá áŤá¨ááᥠá áľá°áłá°á â áľáááľ â áá°ááŤáľ á ááŤá áá áˇáᢠá°ááĽáŽ ááááľ á áááááľ. á°ááĽáŽ ááłáá፠- á°á ááá áá° á áá áĽá á á°ááŤáá ááá°ááá á¨ááŤáľá˝á á ááŤáᢠPassiveID á¨á¤á˛ áá¨áá á WMIᣠáአᨠAD ááŞáá˝ ááá á ááá¨áŞáŤá áá á SPAN áá°áĽ á áŠá áŤááá (ááἠá ááŤá á áá°áá)á˘
ááľáłááť: á¨ááłáááŤáá áááł áááá°á˝ ISE áŽááśáá áá°áᥠá¨áááá¨áť áááłá á áłá | PassiveIDá áŤáŤáľáąá˘
ááľá 13. PassiveID á ááŤáá ááááľ
4) áá° áľá áááą á áľá°áłá°á â á¨ááááľ á áľá°áłá°á â á¨áá ááááľ áááŽá˝ â áá áá፠â PassiveID áĽá áááŤáá ááá¨áĄ á˛á˛áá˝á áŤáá. á ááá á á áľááááášá á¨á፠áááŁá áŞáŤáá˝ á á áááŤá˝ áłáĽáá˝ ááá¨áĄ áĽá á á áŤáľáá áĽáş.
ááľá 14. á¨á፠áááŁá áŞáŤáá˝á áá¨áá
5) á¨á°á¨ááŠáľá á˛á˛áá˝ ááá¨áĄ áĽá á ááŤáŠá á á áŤáľáá á ááľáĽ. á ááááľ FQDN á¨áĽááľáá á˛á˛áŁ á¨á፠ááá˘áŤ áĽá á¨ááá ááᣠáĽá á¨á ááá á ááŤá WMI ááá ááŞá. WMI á ááá¨áĄ áĽá á á áŤáľáá áĽáş.
ááľá 15 á¨á፠á°ááŁáŁáŞ ááááŽá˝á á ááľááŁáľ áá
6) á¨Active Directory áá áááááá WMI á°ááŤá áŤáááᣠᨠISE ááŞáá˝á áá áá ááťááᢠá¨ááŞá áá´ á¨ááá˘áŤ ááľá°áśá˝á á ááá á ááááŽá˝ áá áአááŞáá˝á ááŤá áá˝áá. 2 á¨ááŤá á ááŤáŽá˝ á á-á ááśáá˛á áĽá á áĽá . á á°ááłáłáŠ áľá ááľáĽ ááŞáá á áŤáľ-á°á áááŤá á°ááĽáŽ ááłáá፠ááá¨áĄ ááŞá á áá â á á˛áľ ááŞá á á°áá (á˛á˛ á¨á áááá¨áĽ ááłá¨áť ááá¨á áááŁá)ᢠá¨á፠á áľááááášá ááľáŽá˝ ááá (á¨ááŞá áľá ᣠá áááá FQDN ᣠá¨á፠á áľá°áłáłáŞ ááá˘áŤ / á¨ááá áá) áĽá á á áŤáľáá áĽáş.
ááľá 16. ᨠISE ááŞá á áŤáľ-á°á ááŤá
7) ᨠCisco ISE ááŞáá áĽáŤáľá áááŤá ááĽáá ááá¨áĄ ááŁá ááŞá áááááĄ. á áááŤá˝á áá ááŞáá á áľáŠ ááľáĽ ááá¨áľ áá˝áá á¨áľáŤ ááĽá¨ááľ â PassiveID â á á áŤá˘áá˝ â ááŞáá˝ â á¨ááá¨áľ ááŞáá˘
ááľá 17. ᨠISE ááŞáá á ááá¨áľ áá
áá á áŁá á áľááá áá: PassiveID ááľá°áśá˝á á áŤááĽáᢠá¨áá°á ááŁ! ááá ááĽááŤá á°á áŤáá áááŞáŤ ááŁáá á¨á°á áá ááá áá á¨áĽáá á áá áĽá á ááŁáŞ á¨ 24 á°ááłáľ áá áĽáŠá ááᢠáľááá á áľáŤá áá áá¨á¨áť áá áĽáŤáľáá áá ááľá¨á ááá áááá á¨áᥠá°á áááá˝á á áŤáľ-á°á á¨ááŤá á áľááŞááľ ááá á ááĽááľá˘
ááá¨á á¨áá°á áᣠ"Endpoint probes" áĽá á áá áááá - á°áááá áááááŞáŤáá˝. á á˛áľáŽ ISE ááľáĽ á ááŤáł á¨áá¨á¨áť ááĽáĽ áááááŞáŤáá˝ á áᥠRADIUSᣠSNMP TrapᣠSNMP QueryᣠDHCPᣠDNSᣠHTTPᣠNetflowᣠNMAP ScanᢠRADIUS á áá áá ááááá áŽá (á¨áááľ áááĽ) áĽá áá˝ á¨á°á áá ááĽáśá˝á áľáááá¨á áá¨á áá°áŁá (áá á¨á°áŤá°á° áŤáľááááá 802.1X), áĽá á SNMP á¨ááłá¨áť áááá˝ áá á¨á°ááᨠáľáá°ááá áĽá áľáá°áá¨áĄ ááłáŞáŤáá˝ áá¨á áá°áŁáá˘
á¨áá¨á°áá ááłá áŤá 802.1X áĽá RADIUS á Cisco ISE + AD áá á á áá ááᥠá°á ááá á áááśááľ áá˝á áá ááĽáˇáᣠááá áłáá°áŤáŁ á¨áá áᲠá áááá áááĄá˘ á áá á ááŁá á ááááŞáŤá áᲠáá áŤáá ááá áá ááá áĽáľáŞáŤá á áľá¨áľ ááá á¨ááłá ááá áĽáľáŞáá á áľá¨áľ áá ááááᢠá¨á፠ááłáŞáŤááš á¨á°ááŤáŠ ááĽáśá˝ áŤáá¸á á áá¨á¨áť á¨ááŁá ááłáŞáŤ ááĽáśášá á°ááŁáŤá áŤá°áááá˘
8) á áľáŠ ááľáĽ á ááŤá á áľá°áłá°á â á¨ááááľ á áľá°áłá°á â á¨áá ááááľ áááŽá˝ â áá áá፠â áĄáľáá˝ â á áá â á¨áá፠ááľáĽ áĄáľáá˝á ááá¨áĄ á ISE áá áááłáĽ á¨áááááľá áĄáľáὠᨠAD ááá¨áĽ áá˝áá (á áĽá áááł áá á¨á°á°á¨áá á á°á¨á 3 "á¤áá˛á¤á á áááá áá¨áá") áá. á ááľ á ááŤá ááá¨áĄ áĄáľáá˝á á°ááľá¨á â áĽáş.
ááľá 18 á) á¨á°á áá áĄáľáá˝á á¨Active Directory á ááłáĽ áá
9) á áľá ááľáĽ á¨áľáŤ ááĽá¨ááľ â PassiveID â á á ááá áĽááł â áłá˝áŚááľ á¨áá ááá-áááá˝ áĽááľáŁ á¨ááἠáááŽá˝ áĽááľáŁ ááŞáá˝ áĽá ááá˝áá áá¨áłá°á áá˝ááá˘
ááľá 19. á¨á፠á°á áááá˝á áĽáá áľáá´ áá¨áłá°á
10) á áľá ááľáĽ á¨ááĽáł ááá áááá˝ á¨á áá ááá áááá˝ ááłáŤá. ᨠAD áá áá á°áľ á°áá áŻáá˘
ááľá 20. á¨á፠á°á áááá˝ áá ááá áááá˝
5. áá áááŤ
áá ááŁáĽá á á˛áľáŽ ISE ááľáĽ á¨á áá ááľáĽ á°á áááá˝á á¨ááá áᣠá¨á¤áá˛á¤á á ááááŽá˝á á¨áá¨áá áĽá á¨ááááŽáśááľ á áá˛á áłááŹáá°áŠ áá á¨ááááľ áááśá˝á á áŤáˇáᢠá¨áááĽáá ááŁáĽá áĽáááł ááłá¨áťá áŁáá°ááá° áááŞáŤ ááá áŤáááá˘
áľááá
áááľ áĽáŤááá˝ áŤáááľ ááá áááąá áááá°á˝ áĽáá á¨ááá áĽáŁááá áŤááááŠ
á áťáááťá˝á áá á áłá˛áľ áá¨ááá˝á áá áĽá (
ááá: hab.com